在Windows Server环境中，IIS是最主流的Web服务组件，其内置的服务器证书功能提供了完整的图形化CSR生成向导，无需命令行操作即可完成证书申请准备工作。本文以Windows Server 2019/2022及IIS 10.0为基准，系统讲解通过IIS管理器图形界面生成CSR的完整流程，涵盖前置准备、分步操作、文件验证、常见排错及安全最佳实践，适用于网站HTTPS部署、证书续签、多域名证书申请等场景。

一、前置准备

1. 环境要求

• 操作系统：Windows Server 2012 R2 / 2016 / 2019 / 2022
• IIS版本：IIS 8.5及以上（推荐IIS 10.0）
• 操作权限：服务器本地管理员组（Administrators）成员
• 网络状态：生成CSR本身无需联网，但后续提交证书申请需要网络访问CA机构平台

2. 信息准备

生成CSR前需确认以下证书主体信息，所有字段建议使用英文，避免中文导致CA机构解析异常：

> 注意：若申请通配符证书，通用名称应填写为 *.example.com ；多域名证书（SAN）可在生成后由CA机构追加备用域名。

3. 加密算法选择

IIS默认提供RSA加密算法，当前行业标准配置如下：

• 密钥长度：推荐2048位，兼容所有主流浏览器与服务器；4096位安全性更高但会增加服务器CPU开销
• 哈希算法：IIS 10.0默认使用SHA-256，符合当前CA机构强制要求
• 不建议使用1024位RSA密钥，已被主流浏览器与CA机构废弃

二、IIS图形化生成CSR详细步骤

步骤1：打开IIS管理器

• 登录Windows服务器，按下 Win + R 组合键，输入 inetmgr 并回车，快速启动Internet Information Services (IIS)管理器
• 也可通过「服务器管理器 → 工具 → Internet Information Services (IIS)管理器」路径打开
• 在左侧连接面板中，点击服务器主机名，展开服务器级别功能视图

步骤2：进入服务器证书功能

• 在中间的功能视图中，找到「IIS」分类下的服务器证书（Server Certificates）图标并双击
• 进入证书管理界面，右侧操作栏会显示「创建证书申请」「完成证书申请」「导入」等功能按钮
• 当前已安装的服务器证书会在列表中展示，生成新CSR不影响现有证书

步骤3：启动证书申请向导

• 点击右侧操作栏中的创建证书申请（Create Certificate Request），启动证书申请向导
• 弹出「可分辨名称属性」对话框，按预先准备的信息依次填写各字段

步骤4：填写可分辨名称属性

按照以下规范填写每一项，确保信息准确无误：

• 通用名称：输入证书主域名，如 www.example.com 。若为单站点证书，此处必须与用户访问的域名完全匹配
• 组织：填写企业工商注册全称，OV/EV证书会由CA机构核验该信息
• 组织单位：填写负责证书管理的部门，如IT部、运维部
• 城市/地点：填写企业所在城市完整拼音或英文名称，不可使用缩写
• 省/自治区：填写省份完整拼音或英文名称
• 国家/地区：从下拉列表选择对应国家，中国选择 CN China

填写完成后点击「下一步」。

步骤5：配置加密服务提供程序属性

• 在「加密服务提供程序属性」页面，「加密服务提供程序」默认选择 Microsoft RSA SChannel Cryptographic Provider ，保持默认即可
• 位长（密钥长度）下拉选择 2048 ，这是当前行业标准配置。如对安全等级有极高要求，可选择 4096
• 勾选「将证书请求保存在」下方的「选择加密服务提供程序」保持默认，不勾选其他高级选项
• 点击「下一步」

> 重要提示：密钥长度一旦选定不可修改，若CA机构要求特定长度，需在此处正确选择，否则证书签发后无法更换密钥长度。

步骤6：指定CSR文件保存路径

• 在「文件名」页面，点击「...」浏览按钮，选择CSR文件的保存位置
• 建议保存到非系统盘的固定目录，如 D:\SSL\certreq.txt ，文件名可自定义，后缀通常为 .txt 或 .csr
• 确认路径后点击「完成」，向导会自动生成CSR文件与对应的私钥

步骤7：获取CSR内容

• 找到保存的CSR文件，使用记事本打开
• 文件内容以 -----BEGIN NEW CERTIFICATE REQUEST----- 开头，以 -----END NEW CERTIFICATE REQUEST----- 结尾
• 提交证书申请时，需完整复制包含首尾标记在内的全部内容，不可遗漏或添加额外字符

三、CSR文件验证与使用

1. CSR内容校验

提交给CA机构前，建议先校验CSR内容的准确性，避免因信息错误导致证书审核失败：

• 使用在线CSR解码工具（如SSL Shopper CSR Decoder），粘贴CSR内容进行解析
• 核对通用名称、组织信息、密钥算法、密钥长度是否与预期一致
• 确认公钥正常显示，无乱码或格式错误

2. 提交证书申请

• 登录SSL证书服务商平台，选择对应证书类型进入申请流程
• 在CSR输入框中完整粘贴生成的CSR文本
• 选择域名验证方式（DNS验证、文件验证、邮箱验证）
• 提交企业资料完成审核，等待CA机构签发证书

3. 私钥安全说明

通过IIS生成CSR时，对应的私钥会自动存储在Windows证书存储区，不会明文出现在CSR文件中：

• 私钥默认存储位置： C:\ProgramData\Microsoft\Crypto\RSA\MachineKeys
• 严禁手动删除或移动私钥文件，否则后续无法完成证书安装
• 建议生成CSR后立即备份服务器证书存储，防止系统重装导致私钥丢失

四、完成证书安装（IIS导入签发证书）

CA机构签发证书后，需回到IIS中完成证书导入与绑定，完整流程如下：

1. 完成证书申请

• 回到IIS管理器的「服务器证书」界面
• 点击右侧操作栏的完成证书申请（Complete Certificate Request）
• 在弹出的对话框中，浏览选择CA机构签发的 .cer 或 .crt 证书文件
• 在「好记名称」中输入便于识别的名称，如 www.example.com-2026
• 证书存储选择「个人」，点击「确定」完成导入

2. 网站绑定HTTPS

• 在IIS左侧连接面板中，展开「网站」，选择需要配置的站点
• 点击右侧操作栏的「绑定」，弹出网站绑定对话框
• 点击「添加」，类型选择 https ，IP地址选择对应站点IP或「全部未分配」
• 端口保持默认 443 ，主机名填写网站域名
• SSL证书下拉列表中选择刚导入的证书，勾选「需要服务器名称指示」（多站点共用IP时必选）
• 点击「确定」完成绑定，即可通过HTTPS访问网站

五、常见问题与排错

1. 「创建证书申请」按钮灰色不可用

原因：当前选中的是站点级别而非服务器级别，服务器证书功能仅在服务器根节点可用。

解决：在左侧连接面板点击最上层的服务器主机名，再进入服务器证书功能。

2. 完成证书申请后证书不显示

原因：最常见原因是导入的证书与原CSR对应的私钥不匹配。

排查：

• 确认是在同一台服务器、同一份CSR基础上签发的证书
• 确认证书文件格式正确，为公钥证书而非私钥文件
• 打开证书文件，查看「详细信息 → 使用者」，确认与CSR信息一致

3. CSR文件中文乱码

原因：填写可分辨名称时使用了中文字符，部分CA机构不支持UTF-8编码的CSR。

解决：重新生成CSR，所有字段使用英文或拼音填写，这是行业通用标准做法。

4. 密钥长度下拉无2048选项

原因：加密服务提供程序选择错误，旧版CSP不支持长密钥。

解决：确保选择 Microsoft RSA SChannel Cryptographic Provider ，而非其他基础加密提供程序。

5. 证书绑定后浏览器提示不安全

原因：可能是证书链不完整、域名不匹配或证书未正确安装。

排查：

• 确认绑定的域名与证书通用名称一致
• 检查是否安装了CA机构提供的中间证书
• 使用在线SSL检测工具验证证书链完整性

六、安全最佳实践

1. 私钥权限管控：生成CSR后，确认 MachineKeys 目录权限仅管理员可访问，防止私钥被窃取

2. 定期更换密钥：证书续签时建议生成新的CSR与私钥，而非复用旧密钥，降低长期密钥泄露风险

3. 备份证书与私钥：证书安装完成后，通过IIS导出为PFX格式并设置强密码，离线备份存储

4. 使用标准密钥长度：优先使用2048位RSA，兼顾安全与性能；敏感业务可升级至4096位

5. 禁用弱加密协议：证书部署后，配合IIS加密套件配置，禁用SSL 3.0、TLS 1.0/1.1等老旧协议

6. CSR信息真实有效：OV/EV证书会核验组织信息，虚假信息将导致审核失败

通过IIS图形化界面生成CSR是Windows平台部署HTTPS的标准操作，流程清晰、门槛低，适合各类运维人员使用。核心要点在于准确填写证书主体信息、选择合规的加密参数、妥善保管对应私钥。生成CSR只是证书申请的第一步，后续还需完成域名验证、证书导入、站点绑定及加密套件优化等环节，才能实现完整的HTTPS安全部署。

Dogssl.com拥有20年网络安全服务经验，提供构涵盖国际CA机构Sectigo、Digicert、GeoTrust、GlobalSign，以及国内CA机构CFCA、沃通、vTrus、上海CA等数十个SSL证书品牌。全程技术支持及免费部署服务，如您有SSL证书需求，欢迎联系!